HIPAA-kompatibla IoT-lösningar

HIPAA och IoT

Internet of Things (IoT) växer exponentiellt, och vissa rapporter förutspår att det når över 38 miljarder enheter 2020. Med mer och fler historier när hackade enheter kommer ut, blir behovet av att säkra tingenes internet allt mer angeläget, mer för medicintekniska tillverkare med HIPAA i åtanke.

US Health Insurance Portability and Accountability Act, eller HIPAA, är inget skämt. HIPAA skyddar säkerheten och integriteten för patienternas elektroniska skyddade hälsoinformation (PHI eller ePHI) och verkställs av Office for Civil Rights (OCR) vid US Department of Health and Human Services (DHS). Om du letar efter digitala certifikat för HIPAA-kompatibel kommunikation, kolla in vår artikel här.

HIPAA kräver att vårdgivare skyddar PHI under transport eller i vila, och underlåtenhet att göra det kan leda till höga böter. Böter för HIPAA-överträdelser kan variera från $ 100 till $ 50,000 per överträdelse, med en maximal straffavgift på $ 1.5 miljoner per år. År 2019 ledde 418 överträdelser till kompromissen mellan 34.9 miljoner amerikansk PHI. 

Att vidta åtgärder nu för att säkra patientinformation och förbli HIPAA-kompatibel är verkligen det rätta steget. År 2019 utgjorde nätverksserverbrott 30.6 miljoner individers information som komprometteras. År 2018 hackades American Medical Collection Agency (AMCA) nätverksserver, vilket ledde till att 22 miljoner patienter fick sina data äventyras. De ekonomiska följderna och förlusten av affärer ledde till att AMCA ansökte om kapitel 11 konkurs. 

 

HIPAA Krav på överföring av information

HIPAA säger följande angående säkerhetsöverföring av information:

164.312 (e) (1): Standard: Överföringssäkerhet. Implementera tekniska säkerhetsåtgärder för att skydda mot obehörig åtkomst till elektronisk skyddad hälsoinformation som överförs via ett elektroniskt kommunikationsnät.

Eftersom HIPAA var tänkt att vara framtidssäkert lämnar det detta direktiv öppet. I grund och botten, för att skydda mot potentiellt dyra överträdelser, måste det finnas protokoll för att skydda informationen som överförs via ett elektroniskt kommunikationsnät.

För en organisation betyder detta att alla enheter som överför data över ett nätverk, särskilt de som gör det utanför företagets brandvägg, måste implementera en mekanism för autentisering och kryptering. SSL /TLS kan ta hand om detta antingen envägs eller ömsesidig autentisering

SSL /TLS för HIPAA-kompatibel IoT

SSL /TLS protokoll använder asymmetrisk kryptering för att säkra data som delas mellan två datorer på Internet. Dessutom SSL /TLS säkerställer att identiteten på servern och / eller klienten valideras. I det vanligaste scenariot, med envägsautentisering, förser en HTTPS-server en besökares webbläsare med ett certifikat som har signerats digitalt av en offentligt betrodd certifikatutfärdare (CA) som SSL.com. 

Matematiken bakom SSL /TLS se till att CA: s digitalt signerade certifikat är praktiskt taget omöjliga att förfalska med tanke på en tillräckligt stor nyckelstorlek. Offentliga behöriga myndigheter verifierar sökandens identitet innan de utfärdar certifikat. De är också föremål för noggranna granskningar av operativsystem och leverantörer av webbläsare för att accepteras och underhållas i förtroendebutiker (listor över betrodda rotcertifikat installerat med webbläsare och operativsystem).

SSL och autentiserande klienter

För de flesta applikationer, SSL /TLS använder enkelriktad autentisering av en server till en klient; en anonym klient (webbläsaren) förhandlar om en krypterad session med en webbserver, som presenterar en offentligt pålitlig SSL /TLS certifikat för att identifiera sig under SSL /TLS handslag. 

Medan enkelriktad autentisering är helt acceptabelt för de flesta webbsurfningar, är det fortfarande sårbart för referensstöldattacker som nätfiske där angripare riktar inloggningsuppgifter som användarnamn och lösenord. Phishing-attacker står för 22% av dataintrång, enligt en rapport från Verizon. För ytterligare skydd kan du välja ömsesidig autentisering. I ömsesidig autentisering skickas en när servern har autentiserats under handskakningen CertificateRequest meddelande till klienten. Klienten svarar genom att skicka ett certifikat till servern för autentisering. Med båda sidor autentiserad med PKI, ömsesidig autentisering är så mycket säkrare än traditionella lösenordscentrerade metoder.

Ömsesidig autentisering och IoT

För tillverkare av medicintekniska produkter kan ömsesidig autentisering av servrar och enheter vara det bästa alternativet för att inte lämna något åt ​​slumpen med klientens och serverns identitet. Till exempel, när en smart medicinsk enhet är ansluten till internet, kanske en tillverkare gillar att den skickar och tar emot data till och från företagets servrar, så att användare kan få tillgång till information. För att underlätta denna säkra överföring av information kan tillverkaren överväga följande:

  • Skicka varje enhet med ett unikt kryptografiskt nyckelpar och klientcertifikat. Eftersom all kommunikation kommer att ske mellan enheten och företagets servrar kan dessa certifikat betrodda privat, vilket ger ytterligare flexibilitet för policyer som certifikatlivslängd.
  • Ange en unik enhetskod (till exempel ett serienummer eller QR-kod) som användaren kan skanna eller ange sitt användarkonto på tillverkarens webbportal eller smartphone-app för att associera enheten med sitt konto.
  • När enheten är ansluten till internet via användarens Wi-Fi-nätverk öppnar den en ömsesidig TLS anslutning till tillverkarens server. Servern kommer att autentisera sig för enheten och begära enhetens klientcertifikat, vilket är associerat med den unika kod som användaren angett i deras konto.

De två parterna i anslutningen är nu ömsesidigt autentiserade och kan skicka meddelanden fram och tillbaka med SSL /TLS kryptering över applikationslagerprotokoll som HTTPS och MQTT. Användaren kan komma åt data från enheten eller göra ändringar i dess inställningar med sitt webbportalkonto eller smartphone-app. Det finns aldrig något behov av obehöriga eller klartextmeddelanden mellan de två enheterna.

Sista ordet

Bli inte fast i det fria. Om du är intresserad av SSL.coms anpassade IoT-lösningar, fyll i formuläret nedan för att få mer information.

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.